数据标记化说明
将敏感数据转换为令牌或独特标识符,同时保留其价值和与原始数据的联系的过程称为数据标记化。此令牌代表实际数据,并使其能够在各种系统和程序中使用,而无需泄露敏感数据本身。
由于即使令牌被未经授权的个人拦截或访问,敏感数据仍会保持安全,因此令牌化经常被用作保护数据隐私的安全机制。原始敏感数据保持安全,令牌可用于授权用途,例如数据分析、存储或共享。
在安全设置中,令牌在交易或活动中使用时可以暂时连接到原始数据。这可以防止敏感信息泄露,同时允许授权系统或应用程序验证和处理令牌化数据。
数据标记化的目的是什么?
增强数据安全性和隐私性是数据标记化的主要目标。敏感数据被替换为不同的标记,以防止未经授权的访问,从而降低数据泄露的风险并最大限度地减少任何安全事件的影响。
数据标记化有以下目的:
数据保护
标记化可防止敏感数据以原始形式保存或发送,包括信用卡号、社会保险号和个人识别码。这减少了不必要的访问或数据泄露的可能性,并降低了敏感数据的暴露。
遵守
对于信用卡数据,支付卡行业数据安全标准 (PCI DSS) 是数据标记化帮助企业遵守的行业标准之一。对敏感数据进行标记化可使企业减少处理的敏感数据量和合规审计范围,从而提高合规管理的有效性。
降低风险
由于代币化,存储和发送敏感数据的风险较低。如果无法访问代币化系统或数据库,代币就毫无价值,即使代币化数据被未经授权的各方拦截或访问。
简化数据处理
对于各种流程,包括交易处理、数据分析或存储,令牌都可用于替代敏感数据。由于令牌可以与原始数据交替处理和管理,而无需解密或披露敏感信息,因此这简化了数据处理程序。
数据完整性
标记化用标记替换原始数据,同时保持原始数据的完整性和格式。因此,标记化数据可以被授权系统和应用程序顺利使用,因为标记具有原始数据未丢失的某些属性。
数据标记化技术
常见的数据标记化技术解释如下:
保留格式标记
使用保留格式标记化技术创建的标记会保留原始数据的格式和长度。标记化数字的一个例子是从 16 位信用卡号创建的另一个 16 位数字。
安全哈希标记化
在此方法中,使用安全的单向哈希函数(例如SHA-256 )创建令牌。由于哈希函数将原始数据转换为固定长度的字符串,因此从令牌中逆向工程原始值在计算上是不可能的。
随机标记化
使用与原始数据无关的随机标记称为随机标记化。标记安全地保存在标记化系统中,可以快速映射回原始数据。
分割标记化
分割标记化将敏感数据分成多个部分,并单独标记每个部分。通过将数据分布在不同的系统或位置,此策略可提高安全性。
加密标记化
该方法将标记化和加密相结合。使用强大的加密算法对敏感数据进行加密,然后将加密数据的值标记化。为了在需要时能够解密,加密密钥受到安全管理。
去标记化
从令牌中恢复原始数据是撤销令牌化的过程。必须安全地存储和管理令牌到数据的映射,才能使此过程正常进行。
数据标记化的工作原理
敏感数据必须转换为标记,同时通过称为数据标记化的过程保留其价值和与原始数据的联系。数据标记化的工作原理如下:
敏感数据识别
必须首先识别需要标记的敏感数据片段,例如信用卡号、社会保险号或个人标识符。
标记化系统
创建一个平台或代币化系统来管理代币化过程。该系统通常包含安全数据库、加密密钥以及用于创建和管理代币的算法。
数据映射
为了将敏感数据与其相应的令牌关联起来,需要构建映射表或数据库。由于映射的安全存储,原始数据和令牌化数据之间的关系得以维护。
代币生成
当敏感数据需要被标记时,标记系统会创建一个特殊的标记来替换敏感数据。通常,标记是一个随机创建的数值或一串字母。
数据替换
创建的令牌用于替换敏感数据,可以按批处理方式或数据输入时实时进行令牌化。
标记化存储数据
标记化数据库用于安全地存储标记化数据以及任何相关元数据或背景信息。以确保即使标记化数据被泄露,也无法使用它来检索原始敏感数据,因为敏感数据不是以原始形式存储的。
标记化数据使用
授权系统或应用程序在处理标记化数据时使用令牌而不是原始敏感数据。对于交易、分析或存储等任务,令牌会在系统中移动。
令牌到数据的检索
如果需要检索与令牌相关的原始数据,标记化系统将使用映射表或数据库回溯并获取相关敏感数据。
为了保护令牌、映射信息和令牌化基础设施本身,令牌化系统必须采取强有力的安全措施。这些程序允许授权系统出于合法目的处理令牌化数据,而无需泄露底层敏感信息,从而使数据令牌化成为处理敏感数据的安全方法。
数据标记化有哪些好处?
对于希望提高数据安全性和隐私性的企业来说,数据标记化具有许多优势,包括:
提高数据安全性
通过代币化,敏感数据被代币取代,降低了非法访问和数据泄露的可能性。即使代币被拦截,攻击者也无法使用它们,因为如果没有代币化系统的访问权限,它们就毫无意义。
遵守法规
数据标记化可帮助企业遵守数据保护和监管需求的行业标准。例如,通过限制敏感数据存储范围并降低管理支付卡信息所涉及的风险,标记化可以帮助遵守 PCI DSS。
保持数据完整性
标记化可保持原始数据的结构和完整性。由于标记保留了原始数据的一些细节,因此授权系统可以使用标记化数据,而不会丢失数据的完整性或正确性。
简化数据处理
通过允许令牌与原始数据互换使用,令牌化简化了数据处理程序。数据操作更加有效,因为授权系统和应用程序可以处理和维护令牌,而无需解密或泄露敏感信息。
降低风险
组织通过对敏感数据进行标记化,降低了保存和传输敏感数据所涉及的风险。由于令牌没有固有价值,不能用于未经授权的用途,因此数据泄露的风险大大降低。
可扩展性和灵活性
标记化是一种可扩展的方法,可用于多种敏感数据类型。它可以应用于众多平台和程序,随着业务需求的变化而具有可扩展性。
增加客户信任
通过展示对数据保护和安全的专注,标记化可以提高客户信任度。如果客户知道他们的敏感信息被标记化并受到保护,他们更倾向于信任公司处理他们的数据。
减少合规工作量
标记化可以减轻合规性审计和保护敏感数据的工作量。通过最小化组织系统中的敏感数据量,可以缩小合规性评估和审计的范围。
数据标记化示例
设想一个供应链管理系统,该系统使用区块链技术来跟踪和确认高端商品的真实性。该系统中的每件奢侈品都会被赋予一个特殊的数字代币,以表明谁是它的所有者以及它来自哪里。
奢侈品的品牌、型号和序列号在生产或进入供应链时都会记录在区块链上。在这些数据被标记化之后,会创建代表特定商品的数字代币并存储在区块链上。
原始奢侈品是劳力士潜航者型手表,序列号为 123456789,在基于区块链的供应链系统中,可以将其标记为唯一代币,例如 Token123456789。在区块链上,此代币可安全代表物品的所有权和出处。
如今,这件高端商品已实现代币化,连同其独一无二的身份一起安全地保存在区块链上。奢侈品在供应链中流通时,每笔交易或所有权转移都会记录在区块链上,确保透明度和不可篡改性。
在区块链上对奢侈品进行代币化有几个好处。数字代币是实物的安全且不可渗透的版本,可以轻松追踪和验证物品的有效性。此外,通过防止未经授权的更改或篡改区块链上的物品数据,代币化过程提高了安全性。
数据标记化是否存在风险?
虽然数据标记化有很多优点,但也存在一些危险和企业应该注意的问题。以下是与数据标记化相关的一些问题:
代币化系统漏洞
标记化系统的安全性至关重要。如果标记化系统受到威胁,攻击者可能能够对标记进行逆向工程并获取私有数据,这可能导致未经授权访问标记化数据或映射表。
对代币化基础设施的依赖
随着代币化基础设施越来越容易获得,越来越多的组织将依赖它。依赖代币化数据的操作可能会因代币化系统的中断或其他干扰而受到阻碍。
数据转换的挑战
代币化可能需要对现有程序和系统进行更改,以支持代币的使用。组织必须考虑调整现有数据和系统以处理代币化数据所需的时间和潜在困难。
标记化限制
并非所有类型的数据或用例都适合标记化。如果涉及特定数据元素(例如具有复杂关系的数据元素或特定流程所需的结构化数据),则实施标记化可能会很困难。
标记化实施的复杂性
创建一个成功的代币化系统需要仔细规划并与现有系统和程序集成,这增加了其复杂性。映射表的维护、代币和敏感数据的安全存储以及正确的代币生产都会增加复杂性。
监管考虑
虽然代币化有助于合规,但组织必须确保其代币化策略遵守所有适用法规。为避免任何处罚或不合规问题,了解代币化的法律和监管后果至关重要。
标记化密钥管理
安全的令牌化依赖于高效的密钥管理。组织负责确保令牌化过程中使用的加密密钥得到正确生成、存储和轮换。不良的密钥管理程序可能会危及令牌和底层敏感数据的安全性。
令牌到数据映射的完整性
必须维护令牌到数据映射表或数据库的完整性,以确保其准确可靠。映射中的任何错误或差异都可能导致数据完整性问题,或使在需要时更难获取原始数据。
数据标记化与数据加密
数据标记化用非敏感标记替代敏感数据,而数据加密则使用加密技术将数据转换为不可读的格式。数据标记化和数据加密都是安全方法,但使用哪一种方法取决于多种标准,包括所需的数据保护级别、合规性要求和独特用例。
以下是两者之间的主要区别:
数据标记化与屏蔽
数据标记化用非敏感标记替代敏感数据,同时保持与原始数据的关系,而数据屏蔽则用虚构或随机值掩盖实际数据以保护敏感信息。
以下是两者之间的主要区别:
数据标记化工具
组织可以使用市场上的各种数据标记化产品来实现数据标记化并提高数据安全性。几种突出的数据标记化工具包括:
IBM Guardium 数据保护
它是一个数据安全平台,提供数据标记化作为其全方位数据保护功能的一部分。它提供机器学习技术来查找围绕数据库、数据仓库和其他具有结构化数据的环境中保存的私人数据的可疑活动。
后代
Protegrity是一个全面的数据保护平台,其主要功能之一是数据标记化。为了保护敏感数据,它提供了灵活的标记化策略和尖端加密技术。
TokenEx
TokenEx是一个代币化平台,通过替换非敏感代币来帮助组织保护敏感数据。它提供灵活的代币化技术和强大的安全控制。
电压安全数据
它是一个以数据为中心、具有数据标记功能的安全系统。它使企业能够在现场或文件级别标记数据,从而增强数据安全性。
Proteus 标记化
它是一种数据标记化解决方案,使企业能够标记和保护跨众多数据库和系统的私人信息。它提供对标记化过程的集中控制和监督。
